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Gem603 - Pascal Pailuer 



PROCEDE CRYPTO GRAPHIQUE A CLES 
PUBLIQUE ET PRIVEE 

La presente invention concerne un procede 
cryptographique a cles publique et privee. II est utilisable 
dans toutes les applications dans lesquelles il est 
necessaire d'assurer la confidentialite des messages 
5 transmis sur un canal quelconque et/ou d'identifier avec 
certitude un dispositif avec lequel on echange des 
messages. 

La confidentialite de messages transmis entre deux 
dispositifs A et B sur un canal de communication 
10 quelconque est obtenue en chiffrant Finformation 
transmise pour la rendre inintelligible aux personnes a qui 
elle n'est pas destinee. L' identification certaine d'un 
dispositif est lui base le calcul de la signature numerique 
d'un message. 

15 En pratique, deux types de procede cryptographique 

peuvent etre utilises celui dit symetrique, a cles secretes, 
dont un exemple bien connu est le DES. ..celui dit 
asymetrique, utilisant une paire de cles publique et privee 
et decrit dans « New directions in Cryptography » IEEE 

20 Transactions on Information Theory, nov. 1976, par MM 
Diffie et Hellman. Un exemple bien connu de procede 
asymetrique est le RSA, du nom de ses inventeurs Ronald 
Rivest, Adi Shamir et Leonard Adleman. On peut trouver 
une description de ce procede RSA dans le brevet 

25 americain US 4, 405, 829. 

Dans Finvention, on s'interesse plus part icul ierement 
a un procede cryptographique asymetrique. 
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Un proceed de chiffrement selon un procede 
cryptographique asymetrique consiste principalement, pour 
un emetteur A qui veut envoyer confidentiellement un 
message a un destinataire B a prendre connaissance, par 
5 exemple dans un annuaire, de la cle publique K B du 
destinataire B, a appliquer le procede de chiffrement E sur 
le message m a transmettre en utilisant cette cle publique, 
et a envoyer au destinataire B, le cryptogramme c 

resultant: c= E^m). 
10 ce procede consiste principalement pour le 

destinataire B, a recevoir le cryptogramme c, et a le 
dechiffrer pour obtenir le message d'origine m, en 
appliquant le procede de dechif frement D sur le 
cryptogramme c en utilisant la cle privee K'bqu'il est le 
15 seul a connaitre: m=Dk'b(c). 

Selon ce procede n'importe qui peut envoyer un 
message chiffre au destinataire B, mais seul ce dernier est 
capable de le dechiffrer. 

On utilise habituellement un procede cryptographique 
20 asymetrique pour la generation/verification de signature. 
Dans ce contexte, un utilisateur qui veut prouver son 
identite utilise une cle privee, connue de lui seul, pour 
produire une signature numerique s d'un message m, 
signature qu'il transmet au dispositif destinataire. Ce 
25 dernier met en oeuvre la verification de la signature en 
utilisant la cle publique de V utilisateur. Tout dispositif a 
ainsi la capacit6 de verifier la signature d'un utilisateur, 
en prenant connaissance de la cle publique de cet 
utilisateur et en l'appliquant dans l'algorithme de 
30 verification. Mais seul I'utilisateur concern* a la capacite 
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de generer la bonne signature utilisant sa cle privee. Ce 
procede est par exemple beaucoup utilise dans les systemes 
de controle d'acces ou de transactions bancaires. II est en 
general couple a Tutilisation d'un procede de chiffrement, 

5 pour chiffrer la signature avant de la transmettre. 

Pour cette generation/verification de signatures 
numeriques, on peut utiliser en pratique des procedes 
cryptographiques asymetriques dedies a cette application, 
tel le DSA (Digital Signature Algorithm) , qui correspond a 

10 un standard americain propose par le US National Institute 
of Standards and Technology. On peut en outre utiliser le 
RSA qui a la propriete de pouvoir etre utilise aussi bien 
en chiffrement qu'en generation de signature. 

Dans Finvention, on s'interesse a un procede 

15 cryptographique qui peut etre utilise pour le chiffrement 
des messages et pour la generation de signature numerique. 
Dans l'etat actuel de la technique, seul le RSA, dont il 
existe de nombreuses variantes de mise en oeuvre, offre 
cette double fonctionnalite. 

20 Le RSA comprend une etape de generation des cles 

publique K et privee K* pour un dispositif donne dans 
laquelle on procede de la fa?on suivante : 

- on choisit deux grands nombres premiers p et q, 
distincts. 

25 - on calcule leur produit n = p.q. 

- on choisit un nombre e premier avec le plus petit 
commun multiple de (p-l)(q-l). En pratique, e est souvent 
pris egal a 3. 



La cle publique K est alors formee par le couple de 
parametres (n,e) et la cle secrete K' est formee par le 
couple de parametres (p,q). 

En choisissant p et q de grande taille, leur produit n 
5 est aussi de grande taille. N est done tres difficile a 
factoriser : on est assure que Ton ne pourra pas retrouver 
la cle secrete K'=(p,q) a partir de la connaissance de n . 

Le procede de chiffrement d'un nombre m 
representant un message M, 0<m<n consiste alors, a 
10 effectuer le calcul suivant : 

c= EB(m)= m e mod n 

au moyen de la cle publique K=(n,e). 

Le procede de dechiffrement consiste lui dans le 
calcul inverse suivant : 
15 m = c d mod(n) 

au moyen de la cle privee K'=(p,q), gardee secrete, 



20 



25 



ou 



1 

d= mod (p-l)(q-l)- 

c 

On a vu que le RS A a la particularity d'etre utilisable 
pour la verification de signature. Le procede correspondant 
de generation de signature par un utilisateur A consiste a 
utiliser le procede de dechiffrement avec la cle secrete 
pour produire la signature s d'un nombre m representatif 
d'un message. On a ainsi : s = m d mod n. 

Cette signature s est transmise a un destinataire B. Ce 
dernier, qui connait m (par exemple, A transmet s et m), 
verifie la signature en effectuant Foperation inverse, e'est 
a dire en utilisant le procede de chiffrement avec la cle 
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publique de l'emetteur A. C'est a dire qu'il calcule 
v=s e mod n, et verifie v=m. 

En general, pour anieliorer la securite d'un tel 
procede de verification de signature, on applique 
5 prealablement une fonction de hachage sur le nombre m 
avant de calculer la signature, qui peut consister en des 
permutations de bits et/ou une compression. 

Quand on parle de message M a chiffrer ou a signer, 
il s'agit bien sur de messages numeriques, qui peuvent 

10 resulter d'un codage numerique prealable. Ce sont en 
pratique des chaines de bits, dont la taille binaire (nombre 
de bits) peut etre variable. 

Or un procede de cryptographie comme le RSA est tel 
qu'il permet de chiffrer avec la cle publique (n,e) 

15 n'importe quel nombre entre 0 et n-1. Pour 1'appliquer a 
un message M de taille quelconque, il faut done en 
pratique couper ce message en une suite de nombres m qui 
verifieront chacun la condition 0<m<n. On applique alors 
le procede de chiffrement sur chacun de ces nombres. Dans 

20 la suite, on s'interesse done a l'application du procede 
cryptographique sur un nombre m representatif du message 
M. m peut-etre egal a M, ou en n'dtre qu'une partie. On 
designe alors indifferemment dans la suite par m le 
message ou un nombre representatif du message. 

25 Un objet de Tinvention, est un procede de 

cryptographie asymetrique different de ceux bases sur le 
RSA. 

Un objet de l'invention, est un procede reposant sur 
d'autres proprietes, qui puisse s'appliquer aussi bien en 
30 chiffrement de messages qu'en generation de signatures. 



Un objet de Pinvention, est un procede de 
cryptographic qui permette, dans certaines configurations, 
un temps de traitement plus rapide. 

Telle que caracterisee, Pinvention concerne un 
proced6 cryptographique selon la revendication 1. 

L'invention sera mieux comprise a la lecture de la 
description suivante , faite a titre indicatif et nullement 
limitatif de Pinvention et en reference aux dessins 
annexes dans lesquels : 

- la figure 1 est un schema fonctionnel d'un systeme 
de communication cryptographique de type asymetrique; 

- la figure 2 est un schema fonctionnel d'un dispositif 
communiquant utilise dans un systeme de communication 
cryptographique selon Pinvention; 

- la figure 3 est un organigramme d'une session de 
chiffrement/dechiffrement de messages utilisant le proced6 
cryptographique selon Pinvention; et 

- la figure 4 est un organigramme d'une session de 
generation/verification de signature utilisant le procede 
cryptographique selon Pinvention. 

Pour bien comprendre Pinvention, il est necessaire de 
faire quelques preliminaires mathematiques. 

Dans la description, on utilise les notations 
mathematiques suivantes : 

(1) Si a est un entier relatif et b un entier 
strictement positif, a mod b (a modulo b) est le residu 
modulaire de a relativement a b et designe Punique entier 
strictement inferieur a b tel que b divise (a - a mod b). 

(2) (Z/bZ) designe Pensemble des residus modulo b et 
forme un groupe pour Paddition modulaire . 
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(3) (Z/bZ) designe Tensemble des entiers inversibles 
modulo b et forme un groupe pour la multiplication 
modulaire. 

(4) L'ordre d'un element a de (Z/bZ)* est le plus 
5 petit entier naturel ord(a,b) tel que a ord < a ' b )=i mod b. 

(5) PPCM (a,b) designe le plus petit commun multiple 
de a et b. 

(6) PGCD(a,b) designe le plus grand commun diviseur 
de a et b. 

10 (7) A,(a)designe la fonction de Carmichael de a. Si 

a=p.q, A,(a)=PPCM(p-l, q-1). 

(8) On note x = TRC(ai,...a k) bi,...b k ) l'unique 
solution, obtenue par la mise en oeuvre du Theoreme du 
Reste Chinois bien connu, du systeme d'equations 
15 modulaires suivant : 

x=ai mod b i 

x= a 2 mod b 2 

x = a k mod b k . 

20 ou les entiers a; et b; sont donnes et ou, ViJ avec i^j, 

PGCD(bi, bj)=l. 

(9) On rappelle que la taille binaire d'un nombre a 
est le nombre de bits sur lesquels a s'ecrit. 

25 Soit maintenant un nombre n, entier, de taille 

arbitraire. L'ensemble Un={x<n 2 /x=l mod n} est un sous- 
groupe multiplicatif de (Z/n 2 Z)*. 
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Soit alors log n la fonction definie sur l'ensemble Un 

par : 
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x-1 

log„(x)= 

n 

Cette fonction a la propri6te suivante : 
V xeUn, V ye Un, log n (xy mod n 2 ) = log„(x) + log n (y) 
mod n. 

Par consequent, si g est un nombre entier arbitraire 
appartenant a Un, on a pour tout nombre m, 0<m<n : 
log„(g m mod n 2 ) = m.log n (g) mod n. 

Cette propri6te mathematique est a la base du procede 
de cryptographic mis en oeuvre dans l'invention qui va 
maintenant Stre decrite. 



La figure 1 repr^sente un systeme de communication 
cryptographique, utilisant un procede cryptographique 
asymetrique. II comprend des dispositifs communiquants, 
dans l'exemple A et B, sur un canal de communication 1. 
15 Dans l'exemple, on a repr6sente un canal bidirectionnel. 
Chaque dispositif contient une paire de cles publique K et 
privee K' . 

Les cles publiques sont par exemple publiees dans un 
fichier public 2 tel qu'un annuaire, que chaque dispositif 
20 peut consulter. Dans ce fichier public, on trouvera ainsi la 
cle publique K A du dispositif A et celle K B du dispositif B. 

La c\6 privee K' de chaque dispositif est conserved 
par lui de facon secrete, typiquement dans une zone 
securisee de memoire non volatile. Le dispositif A contient 
25 ainsi en memoire secrete sa cle privee K' A et le dispositif 
B contient ainsi en memoire secrete sa c\6 priv6e K' B . lis 
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conservent aussi leur cle publique, mais dans une zone 
memoire sans protection d'acces particuliere. 

Dans un tel systeme, le dispositif A peut chiffrer un 
message m en un cryptogramme c A en utilisant la cle 
5 publique K B du dispositif B; ce dernier peut dechiffrer c A 
en utilisant sa cle privee K' B , qu'il conserve secretement. 
Inversement, , le dispositif B peut chiffrer un message m 
en un cryptogramme c B en utilisant la cle publique K A du 
dispositif A; ce dernier peut dechiffrer c B en utilisant sa 

10 cle privee K' A , qu'il conserve secretement. 

Typiquement, chaque dispositif comprend au moins, 
comme represents sur la figure 2, des moyens de 
traitement 10, c'est a dire une unite centrale de traitement 
(CPU), comprenant notamment differents registres R pour 

15 le calcul, une interface de communication 1 1 avec le canal 
de communication, et des moyens de memorisation. Ces 
moyens de memorisation comprennent generalement une 
memoire programme 12 (ROM, EPROM, EEPROM) et une 
memoire de travail (RAM) 13 En pratique, chaque 

20 dispositif conserve ses donn6es secretes dans une zone 
d'acces securisee 120 previie en memoire programme et ses 
donnees publiques dans une zone d'acces normal de cette 
^memoire. La memoire de travail permet de conserver 
momentanement, le temps necessaire aux calculs, des 

25 messages a chiffrer, des crypt ogrammes a dechiffrer, ou 
encore des resultats de calculs intermediates. 

Les moyens de traitement et de memorisation 
permettent ainsi d'executer des programmes lies a 
Tapplication, et notamment d'effectuer les calculs 

30 correspondant a la mise en oeuvre du procede de 
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cryptographic pour le chiffrement /d6chiffrement de 
messages et/ou la g6n6ration/verification de signatures 
selon Finvention. Ces calculs comprennent notamment, 
comme on le verra de fa9on d6taill6e dans la suite, des 
5 elevations a la puissance, des residus et inversions 
modulaires . 

Les dispositifs peuvent encore comprendre un 
generateur 14 de nombre aleatoire ou pseudo-aleatoire r , 
qui peut intervenir dans les calculs precites, dans 

10 certaines variantes de realisation. Ce gendrateur est 
encadre en pointille sur la figure 2, pour indiquer qu'il 
n'est pas necessaire a la realisation de toutes les variantes 
de realisation selon Finvention. 

Tous ces moyens du dispositif sont connectes a un bus 

15 d'adresses et de donnees 15. 

De tels dispositifs utilises dans Finvention sont bien 
connus, et correspondent par exemple a ceux qui sont 
utilises dans les systemes de communication 
cryptographique de Fetat de la technique, mettant en 

20 oeuvre le RS A. lis ne seront done pas detailles plus avant. 
Un exemple pratique de systeme de communication 
cryptographique, est le systeme forme des serveurs 
bancaires et des cartes a puce, pour la gestion de 
transactions financieres. Mais il existe de nombreuses 

25 autres applications, telle les applications li6es au 
commerce electronique . 

Un premier mode de realisation de Finvention va 
maintenant etre detail^, au regard de F organigramme 
represente sur la figure 3. 




11 



Cet organigram me represente une sequence de 
communication entre un dispositif A et un dispositif B sur 
un canal de communication 2 0. Ces dispositifs 
comprennent au moins les moyens de traitement, de 
5 memorisation et de communication decrits en relation avec 
la figure 2. 

Le procede de cryptographie selon Tinvention 
comprend un procede de generations des cles publique K et 
pri vee K * . 

10 Selon Finvention, ce procede de generation des cles 

publique et privee d'un dispositif comprend les etapes 
suivantes : 

- selection de deux grands nombres premiers p et q 
distincts et de taille voisine; 

15 - calcul du nombre n egal au produit p.q; 

- calcul du nombre A,(n)=PPCM(p-l , q-1), c'est a dire 
de la fonction de Carmichael du nombre n; 

- determination d'un nombre g, 0<g < n 2 , qui 
remplisse les deux conditions suivantes : 

20 a) g est inversible modulo n 2 et 

b) ord(g,n 2 )=0 mod n. 

Cette condition b) indique que l'ordre du nombre g 
dans l'ensemble (Z/n 2 Z)* des nombres entiers de 0 a n 2 est 
un multiple non nul du nombre n, selon les notations 
25 definies plus haut. 

La cle publique K est alors formee par le nombre n et 
le nombre g. La cle privee est formee par les nombres p,q 
et X(n) ou seulement par les nombres p et q, X.(n) pouvant 
etre recalcule a chaque utilisation de la cle secrete. 
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On genere selon ce procede les cles publique et 
privee de chaque dispositif. Cette generation peut-etre 
effectuee, selon les dispositifs consideres et les 
applications, par les dispositifs eux-memes ou par un 

5 organe externe. 

Chaque dispositif, par exemple le dispositif A, 
contient done en memoire sa cle publique K A =(n A ,g A ) et, 
de fa9on secrete, sa cle privee K' A =(p A ,q A ). 

En outre, les cles publiques sont mises dans un 

10 fichier accessible au public. 

On verra ci-dessous qu'il est avantageux de choisir 
g=2, lorsque e'est possible, e'est a dire, lorsque g=2 
remplit les conditions a) et b) du procede de generation de 
signature selon l'invention. 

15 xjn procede de chiffrement selon un premier mode de 

realisation du procede cryptographique de l'invention mis 
en oeuvre dans le dispositif A consiste alors, pour l'envoi 
d'un message au dispositif B, dans la realisation des 
etapes suivantes, avec 0<m<n: 

20 - renseignement des parametres n et g du procede de 

chiffrement mis en oeuvre par le dispositif A par la cle 
publique K B du deuxieme dispositif B : n =n B , g=g B • 

- calcul du cryptogramme c =g m mod n 2 , et 

- transmission du cryptogramme c sur le canal de 
25 communication. 



Le procede de chiffrement selon un premier mode de 
realisation de l'invention consiste done a prendre le 
parametre g de la cle publique, a l'elever a la puissance m, 
30 et a calculer le residu modulaire relativement a n 2 . On 
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notera que dans le RSA, c'est le message m qui est eleve a 
la puissance alors que dans l'invention, le message m est 
utilise comme exposant. 

Le dispositif B qui re9oit le message chiffre, c'est a 
dire le cryptogramme c, met alors en oeuvre un procede de 
dechiffrement selon l'invention avec les parametres de sa 
cle privee. Ce procede de dechiffrement comprend le 
calcul suivant : 

- calcul du nombre m tel que 

log n (c X(n) mod n 2 ) 
m = " mod n 

log n (g X(n) mod n 2 ) 



10 ou 



x-1 



logn(x) 



n 

Si g = 2, on voit que le calcul d'elevation de g a la 
puissance est facilite. On prendra done de preference g=2 J 
toutes les fois ou ce sera possible. En d'autres termes, le 
procede de generation des cles commencera par essayer si 

15 g=2 remplit les conditions a) et b). 

Differentes variantes de calcul du procede de 
dechiffrement peuvent etre mises en oeuvre, qui 
permettent, lorsque le dispositif doit dechiffrer un grand 
nombre de cryptogrammes, de precalculer certaines 

20 quantites et de les conserver de fa9on secrete dans le 
dispositif. Une contrepartie est que la zone memoire 
secrete (zone 120 sur la figure 2) du dispositif doit etre 
plus etendue, puisqu'elle doit alors contenir des 
parametres supplementaires en plus des parametres p et q. 

25 Ceci n'est pas sans influencer le choix de mise en oeuvre 
d'une variante ou d'une autre. En effet, la realisation 
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d'une zone de m6moire s6curis6e est couteuse, et done de 
capacite (memoire) gen6ralement limitee, notamment dans 
les dispositifs dits a bas cduts (par exemple, certains types 
de cartes a puce). 

5 Dans une premiere variante de mise en oeuvre du 

proc6de de dechi ffrement, on prevoit que le dispositif, B 
en l'occurrence, prdcalcule une fois pour toutes la 
quantity : 

a n , g = log„(g X(n) mod n 2 )" J mod n 

10 et la conserve secrete en memoire. 

Ainsi, on reduit d'autant le temps necessaire au 
dechiffrement de chacun des messages recus par le 
dispositif. En effet, lorsque que le dispositif B execute 
une instance de cette variante du proc6d6 de 

15 dechiffrement, il ne lui reste plus qu'a calculer : 
m= log n (c x<n) mod n 2 ) a n>g mod n. 

Dans une deuxieme variante. de mise en oeuvre du 
procede de dechiffrement selon l'invention, on pr6voit 
20 d'utiliser le Theoreme du Reste Chinois, pour une 
meilleure efficacite (rapidite du calcul). 

Dans une instance de cette deuxieme variante du 
procede de dechiffrement, le dispositif effectue les calculs 
(de dechiffrement) suivants : 
25 1 m p =log p (c p l mod p 2 )log p (g p - 1 mod p 2 )" 1 mod p 

2 m q =log q (c q - 1 mod q 2 )log p (g q - 1 mod q 2 )"' mod q 

3 m=TRC(m p ,m q ,p,q), 
ou 

x-1 

log P (x) et 

P 
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x-1 

log q (x) 

q 

Dans ce cas, on peut en outre prevoir, dans les cas ou 
le dispositif est amene a dechiffrer un tres grand nombre 
de messages, que le dispositif precalcule une fois pour 
toutes les quantites suivantes : 

a p>g = log p (g p l mod p 2 )"* mod p et 

a q , g = log q (g q ' 1 mod q 2 )* 1 mod q. 

Le dispositif doit alors conserver ces quantites 
comme donnees secretes. 

Le calcul effectue lors d'une instance du procede de 
dechiffrement devient : 

1. mp^logpCcP' 1 mod p 2 ) a p , g mod p 

2. m q = log q (c q l mod q 2 ) a q>g mod q 

3. m=TRC(m p ,m q ,p 5 q). 

Comme deja precise, toutes ses variantes de calcul de 
dechiffrement sont interessantes lorsque le dispositif est 
amene a dechiffrer un tres grand nombre de messages, et 
que le gain en temps de traitement compense la plus 
grande capacite memoire de la zone securisee pour 
conserver toutes les donnees secretes. Le choix de Tune ou 
l'autre variante depend en pratique de l'application 
consideree et des contraintes de couts et de temps de 
traitement a concilier. 

Un deuxieme mode de realisation de l'invention 
comprend Tutilisation d'un nombre aleatoire, fournit par 
un generateur de nombre aleatoire (ou pseudo-aleatoire), 
dans le procede de chiffrement, en sorte que pour un meme 
message m a transmettre, le cryptogramme calcule c sera 
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different a chaque fois. La securite du systeme de 
communication est done plus grande. Le procede de 
dechiffrement est inchange. 

Ce deuxieme mode de realisation de l'invention 
5 comprend deux variantes. 

Dans une premiere variante, le cryptogramme c est 
obtenu par le calcul suivant : c = g m+nr mod n 2 

Dans une deuxieme variante, le cryptogramme c est 
obtenu par le calcul suivant : c = g m r n mod n 2 . 
10 Cette deuxieme variante n6cessite en pratique un 

temps de traitement plus long que la premiere, mais elle 
offre une plus grande securite. 

Dans un troisieme mode de realisation de l'invention, 
15 on impose que 1'ordre de g dans (Z/nZ)* soit un entier de 
petite taille, ceci etant obtenu par une mise en oeuvre du 
procede de generation des cles differente. 

Avec une telle condition sur 1'ordre du parametre g, 
on reduit la complexity du calcul du procede de 
20 dechiffrement qui devient en pratique quadratique (e'est a 
dire en x 2 ) par rapport a la taille du nombre n. 

Dans ce troisieme mode de realisation de l'invention, 
le procede de generation des cles publique et privee est 
alors le suivant : 
25 - selection en secret, d'un entier u et de deux grands 

nombres premiers p et q distincts et de taille voisine tels 
que u divise (p-1) et divise (q-1). 

- calcul du nombre n egal au produit p.q; 

- calcul du nombre X(n)=PPCM(p-l , q-1), e'est a dire 
30 de la fonction de Carmichael du nombre n; 
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- determination d'un nombre h, 0<h< n 2 , qui 
remplisse les deux conditions suivantes : 

a) h est inversible modulo n 2 et 

b) ord(h,n 2 )=Omod n. 

5 - calcul du nombre g= h X(n)/u mod n 2 . 

La cle publique K est alors formee par le nombre n et 
le nombre g. La cle privee est constitute par les entiers 
(P?Q> U ) conserves secretement dans le dispositif. 

De preference, on choisit h=2, lorsque c'est possible 
10 (c'est k dire si h = 2 remplit les conditions a) et b), pour 
faciliter le calcul de g. 

On notera que si u =PGCD(p-l,q-l), il n'est pas 
necessaire de conserver ce nombre qui peut-etre retrouve 
par le dispositif a partir de p et q. 
15 De preference, on choisira u premier, pour ameliorer 

la securite du procede, et de petite taille, typiquement 160 
bits. En choisissant une petite taille pour u, on verra que 
Ton facilite le calcul de dechiffrement. 

Dans ce troisieme mode de realisation, la mise en 
20 oeuvre du procede de chiffrement pour chiffrer un message 
m est identique a celle precedemment decrite dans le 
premier mode de realisation de ^invention, le 
cryptogramme etant egal a c = g m mod n 2 . 

On peut aussi calculer le cryptogramme c en 
25 utilisant une variable aleatoire r selon la premiere 
variante du deuxieme mode de realisation de ^invention 
precedemment decrit. r est alors un entier aleatoire, de 
meme taille que u et le cryptogramme est obtenu par le 
calcul suivant : c=g m+nr mod n 2 . 

30 
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Le cryptogramme c calcule selon l'une ou l'autre mise 
en oeuvre pr^cedente du procede de chiffrement est envoye 
au dispositif B qui doit le dechiffrer. La mise en oeuvre du 
5 procede de dechiffrement par le dispositif B qui recoit le 
message est un peu differente. 

En effet, le calcul effectue dans le dispositif dans 

une instance de dechiffrement, pour retrouver le nombre m 

a partir du cryptogramme c devient le suivant : 

log n (c u mod n 2 ) 

m= mod n. 

log n (g u mod n 2 ) 

10 On peut appliquer comme prec^demment des variantes 

de calcul qui permettent d'accelerer le temps de traitement 
necessaire. 

Dans une premiere variante, on va ainsi precalculer 
une fois pour toutes la quantite : 
15 P„. g = log n (g u mod n 2 ) " l mod n 

et la conserver secretement en memoire. 
Lors d'une instance de dechiffrement d'un 
cryptogramme c recu, le dispositif n'a plus qu'a effectuer 
le calcul suivant : 
20 m=log n (c u mod n 2 ) P„, g mod n. 

Dans une deuxieme variante, on met en oeuvre le 
Theoreme du Reste Chinois, en utilisant les fonctions log p 
et log q deja vues pour effectuer le calcul de dechiffrement. 
25 Lors d'une instance de cette variante du procede de 

dechiffrement du cryptogramme c recu, le dispositif 
effectue alors les calculs suivants : 
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1. m p = log p (c u mod p 2 )log p (g u mod p 2 )' 1 mod p 

2. m q = log q (c u mod q 2 )log q (g u mod q 2 ) ^mod q 

3. m =TRC(m p ,m qj p,q). 

Dans une troisieme variante, on accelere encore le 
temps de traitement necessaire au dechiffrement du 
cryptogramme c selon la deuxieme variante, en 
precalculant les quantites suivantes : 

Pp, g = Iog p (g u mod p 2 ) 1 mod p 

Pq.g^^gqCg" mod q 2 )" 1 mod q 

et en les conservant de fa9on secrete dans le 
dispositif. 

Lors d'une instance de calcul de cette troisieme 
variante du procede de dechiffrement du cryptogramme c 
re?u, le dispositif n'a alors plus qu'a effectuer les calculs 
suivants : 

1. m p = log p (c u mod p 2 ) p p >g mod p 

2. m q = log q (c u mod q 2 ) p q g mod q 

3. m =TRC(m p) m q) p,q). 

Dans un quatrieme mode de realisation de Pinvention, 
le procede de chiffrement et le procede de dechiffrement 
sont tels qu'ils presentent la particularity d'etre des 
permutations sur le groupe des entiers modulo n 2 . En 
d'autres termes, si le message m s'exprime sur k bits, le 
cryptogramme c obtenu en appliquant le procede de 
chiffrement sur m et la signature s obtenue en appliquant 
le procede de dechiffrement sur m sont aussi sur k bits. 

Cette particularity confere au procede 
cryptographique la propriete supplementaire de pouvoir 
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etre utilise aussi bien en chiffrement/dechiffrement qu'en 
generation/verification de signature. Dans ce cas, le 
procede de dechiffrement est employe comme procede de 
generation de signature et le procede de chiffrement 

5 comme procede de verification de signature. 

Dans ce quatrieme mode de realisation, le procede de 
generation des cles publique et privee est le meme que 
celui du premier mode de realisation de l'invention : 
K=(n,g) et K'=(p,q,Mn)) ou K' = (p,q). 

10 Si le dispositif A veut envoyer un message m chiffre 

au dispositif B, il se procure la cle publique (n,g) de ce 
dernier, puis dans une instance du procede de chiffrement, 
effectue alors les calculs suivants, applique au nombre m, 
0< m<n 2 : 

15 1 . m , =m mod n 

2. m 2 =(ni-ml)/n (division euclidienne) 

3. c=g ml m 2 n mod n 2 . 

C'est ce cryptogramme c qui est envoye au dispositif 

B. 

20 

Ce dernier doit done lui appliquer le procede de 
dechiffrement correspondant, pour retrouver m,, m 2 et 
finalement m. Ce procede de dechiffrement selon le 
quatrieme mode de realisation de l'invention consiste a 
25 effectuer les calculs suivants : 

1. m, = log n (c X(n) mod n 2 ).log n (g X(n) mod n 2 y 1 mod n. 

2. w=cg' ml mod n . 

3. m 2 =w 1/n mod X(n> mod n . 

4. m = mi + n m 2 . 
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Comme precedemment, des variantes du procede de 
dechiffrement selon ce quatrieme mode de realisation de 
l'invention sont applicables, qui permettent de reduire le 
temps de traitement necessaire pour dechiffrer un message 
5 donne. Elles sont interessantes lorsque le dispositif a un 
grand nombre de cryptogrammes a dechiffrer. 

Une premiere variante consiste a precalculer les 
quantites suivantes : 

ct n>g = log n (g X(n) mod n 2 )" 1 mod n et 
10 y n = 1/n mod X(n) 

que le dispositif B calcule une fois pour toutes et 
conserve secretes en memoire. 

A chaque nouvelle instance de dechiffrement d'un 
cryptogramme c re?u selon cette premiere variante, le 
15 dispositif B n'a plus qu'a effectuer les calculs suivants : 

1. m 1 =log n (c X(n) mod n 2 ) a n>g mod n. 

2. w=cg~ ml mod n . 

3. m 2 = w Yn mod n. 

4. m = mi + nm 2 . 

20 

Dans une deuxieme variante de la mise en oeuvre du 
procede de dechiffrement selon le quatrieme mode de 
realisation, on utilise le Theoreme du Reste Chinois. 

Le dispositif qui veut dechiffrer un cryptogramme c 
25 selon cette deuxieme variante effectue alors les calculs 
successifs suivants : 

1. m Up =logp(c p_l mod p 2 )log p (g p " 1 mod p 2 )" 1 mod p 

2. w p =cg~ m 1 ,p mod p 

1 / q mod p-I _ ^ j ^ 

• m 2,p w p mod p 

30 4. m^^logqCc 9 ' 1 mod q 2 )log q (g q " 1 mod q 2 )* 1 mod q 
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5. w q = cg' ml ' q mod q 

6. m 2 . q =w q 1/p mod q ' 1 mod q 

7. mi=TRC(mi, p ,m 2 ,p,p,q). 

8. m 2 =TRC(m l(q ,m 2 , q ,p,q). 

9. m = mi + pqm 2 . 



Dans une troisieme variante, pour ameliorer encore le 
temps de traitement du dechiffrement de cette deuxieme 
variante, le dispositif B peut precalculer une fois pour 
10 toutes les quantites suivantes : 

a p ,g=log p (g p " 1 mod p 2 )' 1 mod p 
a q , g = log q (g q l mod q 2 )" 1 mod q 
y p = 1/q mod p- 1 
y q = 1/p mod q-1 
15 et les conserver secretes en memoire. 

Le dispositif qui veut dechiffrer un cryptogramme c 
selon cette troisieme variante n'a plus qu'a effectuer les 
calculs suivants: 

1. m 1>p =logp(c p l mod p 2 ) ct p>g mod p 
20 2. w p ss cg" ml,p mod p 

3. m 2 ,p = w p yp mod p 

4. m liq =log q (c q l mod q 2 ) a q , g mod q 

5. w q =cg~ ml ' q mod q 

6. m 2 , q := w q yq mod q 

25 7. mi=TRC(m 1 ,p i m 2 ,p,p,q). 

8. m 2 ==TRC(m 1(q ,m 2 , q ,p,q). 

9. m = m] + pqm 2 . 



Le quatrieme mode de realisation de 1'invention qui 
30 vient d'etre decrit permet de faire de la generation/ 
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verification de signature. Comme represents sur 
l'organigramme de la figure 4, si le dispositif B doit 
generer une signature s d'un nombre m representatif d'un 
message vers le dispositif A, il applique comme procede de 

5 generation de la signature, le procede de dechiffrement 
avec sa cle privee : s = D KB (m). 

Le dispositif A qui regoit la signature s et qui connait 
le message m, verifie que la signature est bonne en 
calculant la quantite v obtenue en appliquant le procede de 

10 chiffrement sur la signature s avec la cle publique 
v=E KB (s). Si la signature est bonne, on a v=m. 

Toutes les variantes de mise en oeuvre du procede de 
dechiffrement de ce quatrieme mode de realisation qui 

15 permettent d'accelerer le temps de traitement sont aussi 
bien applicable en generation/verification de signature. 

L'invention qui vient d'etre decrite est applicable 
dans tous les systemes ou Ton veut pouvoir chiffrer et/ou 
signer des messages. Elle permet d'elargir les possibilites 

20 d'adaptation aux differentes applications, selon que Ton 
recherche plus de securite, ou une vitesse de traitement 
accrue. A cet egard, on notera que le troisieme mode de 
realisation de l'invention, dont la complexity de calcul est 
seulement quadratique (fonction du carre de la taille de n) 

25 offre un reel avantage en terme de vitesse, dans la mesure 
ou tous les procedes de Petat de la technique ont un ordre 
de complexite superieur (fonction du cube de la taille de 
n). Un tel avantage interesse plus particulierement toutes 
les applications utilisant des dispositifs portables, tels les 
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cartes a puces et plus particulierement les dispositifs a bas 
couts. 

Enfin, toute personne experimentee dans la technique 
concernee par 1'invention comprendrfi que des 
5 modifications dans la forme et/ou des details peuvent etre 
effectuds sans sortir de l'esprit de Tinvention. En 
particulier on peut chiffrer la signature, ou encore 
appliquer une fonction de hachage au message m avant de 
calculer sa signature. 

10 
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^OffllS avail? j$st. 



RE VEND IC AT IONS 

1. Procede cryptographique comprenant un procede de 
generation de cles publique (K) et privee (K') dans un 
dispositif apte a echanger des messages sur au moins un 
canal de communication, la cle privee devant etre 

5 conservee de fa9on secrete dans ledit dispositif et la cle 
publique devant etre diffusee publiquement, le procede de 
generation comprenant les etapes suivantes : 

- selection de deux nombres premiers p et q 
distincts, de taille voisine; 

10 - calcul du nombre n egal au produit p.q; 

caracterise en ce que ledit procede comprend en outre 
les etapes suivantes : 

- calcul du plus petit commun multiple des nombres 
(p-1) et (q-1) : X(n) = PPCM(p- 1 , q-1) 

15 - determination d'un nombre g , 0<g<n 2 qui verifie 

les deux conditions suivantes : 

a) g est inversible modulo n 2 et 

b) ord(g,n 2 ) = 0 mod n, 

la cle publique dudit dispositif etant formee par les 
20 parametres n et g et sa cle privee etant formee par les 
parametres p,q et X(n) ou par les parametres p et q. 

2. Procede de generation selon la revendication 1, 
caracterise en ce qu'il consiste a prendre g = 2, si g verifie 

25 les dites conditions a) et b). 




3. Systeme de communication cryptographique a cles 
publique et privee generees selon la re vendication 1 ou 2, 
comprenant un canal de communication (20) et des 
dispositifs communiquant (A, B), chaque dispositif 

5 comprenant au moins une interface de communication (11), 
des moyens de traitement de donn^es (10) et des moyens de 
memorisation (12, 13), caracterise en ce qu'un procede de 
chiffrement est mis en oeuvre dans un premier dispositif 
(A) pour envoyer un nombre m representatif d'un message, 

10 0<m<n, a un deuxieme dispositif (B), ledit proced6 de 
chiffrement comprenant les etapes suivantes : 

- utilisation des parametres de la cle publique (n B ,g B ) 
du deuxieme dispositif (B) pour renseigner les parametres 
n et g du procede de chiffrement, 

15 - calcul du cryptogramme c = g m mod n 2 , 

ledit cryptogramme c etant ensuite transmis sur le 
canal de communication vers le deuxieme dispositif. 

4. Systeme selon la revendication 3 , caracterise en 
20 ce que le dispositif mettant en oeuvre le procede de 

chiffrement comprend en outre un generateur (15) d'un 
nombre entier aleatoire r, et en ce que ledit dispositif : 

-effectue le tirage d'un nombre entier aleatoire r, 

puis 

25 -calcule le cryptogramme c en effectuant le calcul de 

chiffrement suivant: c=g m+Dr mod(n 2 ). 

5. Systeme selon la revendication 3, caracterise en ce 
que le dispositif mettant en oeuvre le procede de 
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chiffrement comprend en outre un generateur (15) d'un 
nombre entier aleatoire r, et en ce que ledit dispositif : 

-effectue le tirage d'un nombre entier aleatoire r, 

puis 

5 -calcule le cryptogramme c en effectuant le calcul de 

chiffrement suivant: c = g m r n mod(n 2 ). 

6. Systeme selon l'une des revendications 3 a 5, 
caracterise en ce que le deuxieme dispositif (B) met en 

10 oeuvre un procede de dechiffrement, pour dechiffrer ledit 
cryptogramme c, et qui comprend la realisation du calcul 
m= log n (c X(n) mod n 2 ). 1 ognCg^^mod n 2 ) 1 mod n 

x-1 

ou log n (x)= . 

n 

7. Systeme selon la revendication 6, caracteris6 en ce 
15 qu'un dispositif (B) mettant en oeuvre ledit procede de 

dechiffrement, precalcule la quantite : 
<*n,g = log n (g X(n) mod n 2 )" 1 modn 
et la conserve secretement. 



20 8. Systeme selon la revendication 6, caracterise en 

ce que dans une instance dudit procede de dechiffrement 
un dispositif effectue les etapes de calcul suivantes, 
utilisant le Theoreme du Reste Chinois TRC : 

m p =log p (c p ' 1 mod p 2 ).log p (g p " 1 mod p 2 )* ! mod p. 
25 m q = log q (c q " 1 mod q 2 ).log q (g q " 1 mod q 2 )" I mod q. 

m = TRC(m p ,m q ,p,q) , ou log p et log q sont tels que 
x-1 

logi(x)= . 

i 
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9. Systeme selon la revendication 8, caracterise en 
ce qu'un dispositif mettant en oeuvre ledit proc6de de 
dechiffrement precalcule les quantites suivantes 

a p , g = log p (g p " l mod p 2 ) -1 mod p et 
5 oc qig = log q (g q ' 1 mod q 2 ) _1 mod q. 

et les conserve secretement. 

10. Systeme de communication cryptographique a 
cles publique et privee generees selon la revendication 1 

10 ou 2, comprenant un canal de communication (20) et des 
dispositifs communiquant (A,B), chaque dispositif 
comprenant une interface de communication (11), des 
moyens de traitement de donnees (10) et des moyens de 
memorisation (12, 13), caracterise en ce qu'un procede de 

15 chiffrement est mis en oeuvre dans un premier dispositif 
(A) pour envoyer un nombre m representatif d'un message, 
0<m< n 2 , a un deuxieme dispositif (B), ledit procede de 
chiffrement comprenant les etapes suivantes : 

utilisation des parametres de la cle publique 

20 K B .(-n B ,gB) du deuxieme dispositif (B) pour renseigner les 
parametres n et g du procede de dechiffrement, 
- et realisation des calculs suivants : 

1 . m i = m mod n 

2. m 2 = (m-ml)/n 

25 3. c=g ml m 2 n mod n 2 . 

ledit cryptogramme c etant transmis sur le canal de 
communication. 
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11. Systeme selon la revendication 10, caracterise en 
ce que en ce que le deuxieme dispositif (B) re$oit le 
cryptogramme c et met en oeuvre un procede de 
5 dechiffrement, pour dechiffrer ledit cryptogramme qui 
comprend la realisation des etapes suivantes de calcul : 

1. m I =log n (c X(n) mod n 2 ).log n (g X(n) mod n 2 y l mod n. 

2. w=cg' ml mod n . 

3. m 2 =w 1/n mod Mn) mod n . 
10 4. m = mi + nm 2 . 



12. Systeme selon la revendication 11, caracterise en 
ce qu 'un dispositif mettant en oeuvre ledit procede de 
dechiffrement, precalcule les quantites suivantes : 
15 an.g^lognCg^ 10 mod n 2 )' 1 mod n et 

Yn = 1/n mod ^(n) 

et les conserve secretement. 



13. Systeme selon la revendication 11, caracterise en 
20 ce que dans une instance dudit procede de dechiffrement, 
un dispositif effectue les etapes de calcul suivant, en 
utilisant le Theoreme du Reste Chinois : 

1. m^p^logpCc 1 ** 1 mod p 2 ). log p (g p l mod p 2 )" 1 mod p 

2. w p =cg" ml,p mod p 

25 3. m 2>p =w p 1/q mod p - ] mod p. 

4. m ljq =log q (c q * 1 mod q 2 ). log q (g q l mod q 2 )" 1 mod q 

5. w q =cg" ml,q mod q 

6. m 2 , q =w q Up mod q - 1 mod q 

7. m 1 =TRC(m 1>p ,m 2>p ,p,q). 
30 8. m2=TRC(m 1>q ,m 2 , q ,p,q). 
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9. m = m! + pqm 2 , ou log p et log q sont tels que 
x-1 

logi(x)= - 

i 

14. Systeme selon la revendication 13, caracterise en 
ce que dans une instance dudit procdde de dechiffrement, 

5 un dispositif precalcule les quantites suivantes : 

a p>g =log p (g p " 1 mod p 2 ) -1 mod p 

a q>g =log <1 (g <1 " 1 mod q 2 )" 1 mod q 

y p = 1/q mod p-1 

y q = 1 /p mod q- 1 
10 et les conserve secretement. 

15. Systeme selon l'une quelconque des 
revendications 11 a 14, dans lequel le procede de 
dechiffrement est utilise pour calculer la signature s d'un 

15 message m et le procede de chiffrement est utilise pour 
verifier ladite signature. 

16. Procede cryptographique comprenant un procede 
de generation de cles publique (K) et privee (K') dans un 

20 dispositif apte a echanger des messages sur au moins un 
canal de communication (20), la cl6 privee devant etre 
conservee de facon secrete dans ledit dispositif et la cle 
publique devant Stre diffusee publiquement, procede de 
generation caracterise en ce qu'il comprend les etapes 

25 suivantes : 

- selection d'un nombre u et de deux nombres 
premiers p et q distincts, de taille voisine, tels que u 
divise (p-1) et divise (q-1); 
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- calcul du nombre n egal au produit p.q; 

- calcul du plus petit commun multiple des nombres 
(p-1) et (q-1).: A,(n) = PPCM(p- 1 , q-1) 

- determination d'un nombre h , 0<h<n 2 qui verifie 
5 les deux conditions suivantes : 

a) h est inversible modulo n 2 et 

b) ord(h,n 2 ) = 0 mod n, 

- calcul du nombre g=h X(n)/u mod n 2 , 

la cle publique dudit dispositif etant forraee par les 
10 parametres n et g et sa cle privee etant formee par les 
parametres p,q et u. 

17. Procede selon la revendication 16, caracterise en 
ce qu'il consiste a choisir h=2, si les conditions a) et b) 

15 sont remplies. 

18. Procede selon la revendication 16, caracterise en 
ce que u est le plus grand commun diviseur de (p-1), (q-1). 

20 19. Procede selon la revendication 16, caracterise en 

ce que u est un nombre premier. 

20. Systeme de communication cryptographique a 
cles publique et privee generees selon Tune des 

25 revendications 16 a 19, comprenant un canal de 
communication (20) et des dispositifs communiquant (A, 
B), chaque dispositif comprenant une interface de 
communication (11), des moyens de traitement de donnees 
(10) et des moyens de memorisation (12, 13), caracterise 

30 en ce qu'un procede de chiffrement est mis en oeuvre dans 
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un premier dispositif (A) pour envoyer un nombre m 
representatif (Tun message, 0<m<n, k un deuxieme 
dispositif (B), ledit procede de chiffrement comprenant les 
etapes suivantes : 

- utilisation des parametres de la cle publique (n,g) B 
du deuxieme dispositif (B) pour renseigner les parametres 
n et g du procede de chiffrement, 

- calcul du cryptogramme c =g m mod n 2 , 

ledit cryptogramme c etant ensuite transmis sur le 
canal de communication vers le deuxi&me dispositif. 

21. Systeme selon la revendication 20, caracterise en 
ce que le dispositif mettant en oeuvre le procede de 
chiffrement comprend en outre un g^nerateur (15) d'un 
nombre entier aleatoire r, et en ce que ledit dispositif : 

-effectue le tirage d'un nombre entier aleatoire r, 

puis 

-calcule le cryptogramme c en effectuant le calcul de 
chiffrement suivant: c = g m+nr mod(n 2 ). 

22. Systeme selon la revendication 20 ou 21, 
caracterise en ce que le deuxieme dispositif met en oeuvre 
un procede de d6chiffrement du cryptogramme re<?u c, 
comprenant la realisation du calcul suivant : 

m= log n (c u mod n 2 ).log n (g u mod n 2 )' 1 mod n. 

23. Procede selon la revendication 22, caracterise en 
ce qu'un dispositif mettant en oeuvre ledit procede de 
dechiffrement pr^calcule la quantite : 

Pn. g = log n (g u modn 2 )" 1 mod n 
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et la conserve secretement . 

24. Systeme selon la revendication 22, caracterise en 
ce que dans une instance dudit procede de dechiffrement, 
un dispositif effectue les etapes de calcul suivantes, en 
utilisant le Theoreme du reste chinois : 

1. m p =log p (c u mod p 2 ).log p (g u mod p 2 )" 1 mod p. 

2. m q =log q (c u mod q 2 ).log q (g u mod q 2 ) " ! mod q. 

3. m =TRC(m p ,m q ,p,q), ou log p et Iog q sont tels que 

x-1 

logi(x)= — — . 

i 

25. Systeme selon la revendication 24, caracterise en 
ce qu'un dispositif mettant en oeuvre ledit procede de 
dechiffrement precalcule les quantites suivantes : 

p p>g =log n (g u mod p 2 ) 1 mod p 
P q>g =log n (g u mod q 2 )" 1 mod q 
et les conserve Se^fetement. 
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Un objet de l'invention, est un procede reposant sur 
d'autres proprietes, qui puisse s'appliquer aussi bien en 
5 chiffrement de messages qu'en generation de signatures. 

Un objet de Tinvention, est un procede de cryptogr aphie 
qui permette, dans certaines configurations, un temps de 
traitement plus rapide. 

Telle que caracterisee, l'invention concerne un procede 
10 cryptographique comprenant un procede de generation de cles 
publique (K) et privee (K') dans un dispositif apte a echanger 
des messages sur au moins un canal de communication, la cle 
privee devant etre conservee de fa9on secrete dans ledit 
dispositif et la cle publique devant etre diffusee 
15 publiquement, le procede de generation comprenant les etapes 

suivantes : . « 

- selection de deux nombres premiers p et q distincts, de 

taille voisine; . 

- calcul du nombre n egal au produit p.q; 

20 caracterise en ce que ledit procede comprend en outre les 

etapes suivantes : . 

- calcul du plus petit commun multiple des nombres (p-1) 
et (q-1) : X(n) = PPCM(p-l, q-1) . , . 

- determination d'un nombre g , 0<g<n 2 qui venfie les 
25 deux conditions suivantes : 2 

a) g est inversible modulo n et 

b) ord(g,n 2 ) = 0 mod n, 

la cle publique dudit dispositif etant formee par les 
parametres n et g et sa cle privee etant formee par les 
30 parametres p,q et X(n) ou par les parametres p et q. 

L'invention sera mieux comprise a la lecture de la 
description suivante , faite a titre indicatif et nullement 
limitatif de l'invention et en reference aux dessins annexes 
dans lesquels : a 

- la figure 1 est un schema fonctionnel d un systeme de 
communication cryptographique de type asymetrique; 

- la figure 2 est un schema fonctionnel d un disposmt 
communiquant utilise dans un systeme de communication 
cryptographique selon l'invention; 

- la figure 3 est un organigramme d'une session de 
chiffrement/dechiffrement de messages utilisant le procede 
cryptographique selon Finvention; et m 

- la figure 4 est un organigramme d'une session de 
generation/verification de signature utilisant le procede 

45 cryptographique selon l'invention. 

Pour bien comprendre l'invention, il est necessaire de 
faire quelques preliminaires mathematiques. 

Dans la description, on utilise les notations 
mathematiques suivantes : 

(1) Si a est un entier relatif et b un entier stnctement 
positif a mod b (a modulo b) est le residu modulaire de a 
relativement a b et designe Tunique entier stnctement 
inferieur a b tel que b divise (a - a mod b). 

(2) (Z/bZ) designe Tensemble des residus modulo b et 
55 forme un croupe pour l'addition modulaire . 

(3) (Z/bZ)* designe Tensemble des entiers inversibles 
modulo b et forme un groupe pour la multiplication modulaire. 
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notera que dans le RSA, c'est le message m qui est eleve a 
la puissance alors que dans Tinvention, le message m est 
utilise comme exposant. 

Le dispositif B qui re9oit le message chiffre, c'est a 
dire le cryptogramme c, met alors eh oeuvre un procede de 
dechiffrement selon l'invention avec les parametres de sa 
cle privee. Ce procede de dechiffrement comprend le 
calcul suivant : 

- calcul du nombre m tel que 

log n (c Mn) mod n 2 ) 
m= mod n 

log n (g X(n) mod n 2 ) 



10 ou 



x-1 



l0g n (x) - 



n 

Si g=2, on voit que le calcul d'elevation de g a la 
puissance est facilite. On prendra done de preference g = 2, 
toutes les fois ou ce sera possible. En d'autres termes, le 
procede de generation des cles commencera par essayer si 

15 g=2 remplit les conditions a) et b). 

Differentes variantes de calcul du procede de 
dechiffrement peuvent etre mises en oeuvre, qui 
permettent, lorsque le dispositif doit dechiffrer un grand 
nombre de cryptogrammes, de precalculer certaines 

20 quantites et de les conserver de fa9on secrete dans le 
dispositif. Une contrepartie est que la zone memoire 
secrete (zone 120 sur la figure 2) du dispositif doit etre 
plus etendue, puisqu'elle doit alors contenir des 
parametres supplementaires en plus des parametres p et q. 

25 Ceci n'est pas sans influencer le choix de mise en oeuvre 
d'une variante ou d'une autre. En effet, la realisation 
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d'une zone de memoire securisee est couteuse, et done de 
capacite (memoire) generalement limitee, notamment dans 
les dispositifs. dits a bas couts (par exemple, certains types 
de cartes a puce). 

5 Dans une premiere variante de mise en oeuvre du 

procede de dechiffrement, on prevoit que le dispositif, B 
en l'occurrence, precalcule une fois pour toutes la 
quantite : 

a„. g = log n (g X(n) mod n 2 )"' mod n 

10 et la conserve secrete en memoire. 

Ainsi, on reduit d'autant le temps necessaire au 
dechiffrement de chacun des messages recus par le 
dispositif. En effet, lorsque que le dispositif B execute 
une instance de cette variante du procede de 

15 dechiffrement, il ne lui reste plus qu'a calculer : 
m= log n (c J,(n) mod n 2 ) a n>g mod n. 

Dans une deuxieme variante. de mise en oeuvre du 
procede de dechiffrement selon l'invention, on prevoit 
20 d'utiliser le Theoreme du Reste Chinois, pour une 
meilleure efficacite (rapidite du calcul). 

Dans une instance de cette deuxieme variante du 
procede de dechiffrement, le dispositif effectue les calculs 
(de dechiffrement) suivants : 
25 l m p = log P (c p -' mod p 2 )log l ,(g ,> - 1 mod p 2 )'' mod p 

2 m q = log q (c q - 1 mod q 2 )log q (g""' mod q 2 )"' mod q 

3 m = TRC(m p ,m q ,p,q), 
ou 

x-1 

logp(x) =r et 

P 
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REVENDI CATIONS 

1. Precede cryptographique comprenant un procede de 
generation de cles publique (K) et privee (K') dans un 
dispositif apte a echanger des messages sur au moins un 
canal de communication, la cle privee devant etre conservee 
5 de fa<?on secrete dans ledit dispositif et la cle publique 
devant etre di f f u see publiquement, le procede de generation 
comprenant les etapes suivantes : 

- selection de deux nombres premiers p et q distincts, 
de taille voisine; 

10 - calcul du nombre n egal au produit p.q; 

caracterise en ce que ledit procede comprend en outre 
les etapes suivantes : 

- calcul du plus petit commun multiple des nombres (p- 
1) et (q-1) : A,(n) = PPCM(p- 1 , q-1) 

15 - determination d'un nombre g , 0 < g < n 2 qui verifie les 

deux conditions suivantes : 

a) g est inversible modulo n 2 et 

b) ord(g,n 2 ) = 0 mod n, 

la cle publique dudit dispositif etant formee par les 
20 parametres n et g et sa cle privee etant formee par les 
parametres p,q et ^(n) on par les parametres p et q. 

2. Procede selon la revendication 1, caracterise en ce 
qu'il consiste a prendre g = 2, si g verifie les dites 
25 conditions a) et b). 
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3. Systeme de communication cry ptographique a cles 
publique et privee generees suivant un procede selon la 
revendication 1 ou 2, comprenant un canal de 
communication (20) et des dispositifs communiquant (A, 

5 B), chaque dispositif comprenant au moins une interface de 
communication (11), des moyens de traitement de donnees 
(10) et des moyens de memorisation (12, 13), caracterise en 
ce qu'un procede de chiffrement est mis en oeuvre dans un 
premier dispositif (A) pour envoyer un nombre m 

10 representatif d'un message, 0<m<n, a un deuxieme dispositif 
(B), ledit procede de chiffrement comprenant les etapes 
suivantes : 

- utilisation des parametres de la cle publique (n B ,g B ) 
du deuxieme dispositif (B) pour renseigner les parametres n 

15 et g du procede de chiffrement, 

- calcul du cryptogramme c = g m mod n 2 , 

ledit cryptogramme c etant ensuite transmis sur le 
canal de communication vers le deuxieme dispositif. 

20 4. Systeme selon la revendication 3 , caracterise en ce 

que le dispositif mettant en oeuvre le procede de 
chiffrement comprend en outre un generateur (15) d'un 
nombre entier aleatoire r, et en ce que ledit dispositif : 

-effectue le tirage d'un nombre entier aleatoire r, puis 

25 -calcule le cryptogramme c en effectuant le calcul de 

chiffrement suivant: c = g m + ,ir mod(n 2 ). 



5. Systeme selon la revendication 3, caracterise en ce 
que le dispositif mettant en oeuvre le procede de 
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9. Systeme selon la revendication 8, caracterise en ce 
qu'un dispositif mettant en oeuvre ledit procede de 
dechiffrement precalcule les quantites suivantes 

o^P.g^ logpCgP^mod p 2 mod p et 
a q.g = log q (g q ' ! mod q 2 mod q : 
et les conserve secretement. 

10. Systeme de communication cry ptographique a cles 
publique et privee generees suivant un procede selon la 
revendication 1 ou 2, comprenant un canal de 
communication (20) et des dispositifs communiquant (A,B), 
chaque dispositif comprenant une interface de 
communication (11), des moyens de traitement de donnees 
(10) et des moyens de memorisation (12, 13), caracterise en 
ce qu'un procede de chiffrement est mis en oeuvre dans un 
premier dispositif (A) pour envoyer un nombre m 
representatif d'un message, 0<m< n 2 , a un deuxieme 
dispositif (B), ledit procede de chiffrement comprenant les 
etapes suivantes : 

utilisation des para metres de la cle publique 
K B -(n B ,gB) du deuxieme dispositif (B) pour renseigner les 
parametres n et g du procede de dechiffrement, 
- et realisation des calculs suivants : 

1 . m i = m mod n 

2 . m 2 = (m-m 1 )/n 

3. c = g ml m 2 " mod n 2 . 

ledit cryptogramme c etant transmis sur le canal de 
communication. 
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un premier dispositif (A) pour envoyer un nombre m 
repr6sentatif d'un message, 0<m<n, a un deuxieme 
dispositif (B), ledit procede de chiffrement comprenant les 

etapes suivantes : 

- utilisation des parametres de Ia cle publique (n,g) „ 
du deuxieme dispositif (B) pour renseigner les parametres 
n et g du procede de chiffrement, 

- calcul du cryptogramme c =g m mod n 2 , 

ledit cryptogramme c etant ensUite transmis sur le 
canal de communication vers le deuxieme dispositif. 

21. Systeme selon la revendication 20, caracterise en 
ce que le dispositif mettant en oeuvre le procede de 
chiffrement comprend en outre un generateur (15) d'un 
nombre entier aleatoire r, et en ce que ledit dispositif : 

-effectue le tirage d'un nombre entier aleatoire r, 

puis 

-calcule le cryptogramme c en effectuant le calcul de 
chiffrement suivant: c = g m+nr mod(n 2 ). 



22. Systeme selon la revendication 20 ou 21, 
caracterise en ce que le deuxieme dispositif met en oeuvre 
un procede de dechiffrement du cryptogramme recu c, 
comprenant la realisation du calcul suivant : 
25 m= log„(c u mod n 2 ). log n (g u mod n 2 )" 1 mod n. 

23.SystSme selon la revendication 22, caracterise en 
ce qu'un dispositif mettant en oeuvre ledit procede de 
dechiffrement precalcule la quantite : 
30 P„.g=log n (g u modn 2 )-* mod n 
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